2020CIS基于安全切面实现银行级默认安全10页.pdfVIP

基于安全切面实现银行级默认安全

张欧网商银行安全负责人

自我简介

19年至今网商银行CISO

10年-19年蚂蚁安全团队，应用安全，威胁感知，安全产品，零信任/可信计算

西安电子科技大学信息安全

摘要

攻防演习的艰难决定

问题与挑战分析

解决思路

实现方案

总结（TakeAway）

攻防演习期间的艰难决定

攻防演习中监管的要求不因任何安全事件扣分

银行业的安全要求扣了分，快速止血/溯源加回来

攻防演习期间的艰难决定

新系统发布的风险重要业务不允许暂停

引入新漏洞和攻击面VS双十一大促业务

防御机制策略未必及时覆盖核心业务关键节点

问题：要不要关停研发测试网？要不要禁止发布/变更？

问题分析

零风险高效率

如何规避变更带来的安全风险敞口？如何不影响业务效率？

新系统、新功能、新域名、新接口安全评估慢、安全防御成本高、上线后因安全返工

业界已知实践

上线前上线后

SDLC安全研发流程安全防御产品

培训需求评审安全测试发布审核WAFHIDS态势感知。。。

人力不足资产记录不全、不准

覆盖面不全、需求碎片化挑战覆盖遗漏（新应用/主机/服务）

响应慢影响业务效率防御策略与业务场景不匹配

解决思路：默认安全

变更全面安全组件只允许安

感知评估默认覆盖全模式

变更：增、删、改安全评估默认安全组件运行准入验证

计算新主机/容器、配置修改、下线自动化评估测试覆盖标准安全能力流程准入

已知场景风险研发安全组件

网络ACL变更、新VIP、新域名感知标准漏洞风险运行时安全能力打标网络访问准入

应用新应用、代码修改、新功能、业务配置修改应用运行准入

人工评估定制新组件沉淀

人员入职、离职、转岗、职责变更新增场景风险标准化计算资源准入

安全切面背景